פרוטוקולים/ועדת מדע/315
פרוטוקולים/ועדת מדע/315
ירושלים, כ"ט ב אדר ב, תש"ס
5 באפריל, 2000
הכנסת החמש עשרה נוסח לא מתוקן
מושב שני
פרוטוקול מס'
מישיבת הוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי
שהתקיימה ביום ד', י”ז באדר א' התש"ס, 23 בפברואר 2000, בשעה 09:00
ס ד ר ה י ו ם
תופעת ההאקרים – טרור ברשת האינטרנט
ישיבת ועדה של הכנסת ה-15 מתאריך 23/02/2000
תופעת ההאקרים – טרור ברשת האינטרנט
ח"כים נוכחים
פרוטוקול
נכחו
חברי הוועדה: ענת מאור – היו"ר
מיכאל איתן
ויקטור ברילובסקי
נסים זאב
אליעזר כהן
מוחמד כנעאן
מוזמנים
¶
יגאל בצר - מנהל היחידה הממשלתית לביקורת
ואבטחת מידע רגיש, משרד ראש-הממשלה
אל"מ אילן קציר - חבר במטה ללוחמה בטרור, משרד
ראש-הממשלה
יוסי שני - הרשות הממלכתית לאבטחת מידע,
משרד ראש-הממשלה
סא"ל גל אלטון - עוזר בכיר למערכות משובצות, משרד
הביטחון
רפ"ק מאיר זוהר - ראש מחלקת עבירות מחשב, המשרד
לביטחון פנים
רפי הוידה - מדען ראשי, משרד התקשורת
יאיר רודאקוב - מחלקת מחשוב והערכה, משרד
הבריאות
פרופ' מרדכי בשארי - לשכת המדענית הראשית, משרד המדע
אבי ענתי - ראש אגף תכנון ובקרה, משרד המדע
עו"ד ענת אסיף - מחלקת יעוץ וחקיקה, משרד המשפטים
משה אברמסון - מנהל ענ"א, משרד הפנים
יחזקאל לביא - מנהל אגף אסטרטגיה, משרד הפנים
יחזקאל שאשא - ממונה על יחידת פיתוח, משרד הפנים
יעקב לוי - לשכת המדען הראשי, משרד החקלאות
ד"ר יעקב ורשבסקי - מנהל אגף מיקור חוץ, הכנסת
חזי כץ - מנהל שירותי מחשוב, הכנסת
יצחק הרמן - לשכת היועצת המשפטית, בזק
חיים פלדמן - יחידת הביטחון, בזק
עידו שרון - מנהל אגף מחקר ופיתוח, בזק
אלי תפוחי - מנהל אתר האינטרנט, בזק
דורון שקמוני - נשיא איגוד האינטרנט הישראלי
נעמי אברמסון - מנהלת תחום אבטחת מידע, תדיראן
גרי ליטוין - מנהל פרוייקט בתחום אבטחת מידע,
תדיראן
נסים בראל - מנכ"ל קומסק, חברה לאבטחת מידע
ינקי מרגלית - נשיא חברת אלאדין
אברהם הים - מומחה לאבטחת מערכי טכנולוגיית
המידע
עו"ד דוד ברנהיים - לשכת עורכי-הדין
עו"ד עידו שפירא - לשכת עורכי-הדין
ד"ר יובל קרניאל - עורך-דין ומרצה למשפטים
עופר עגור - מכון התקנים
תמיר אשל - נציג יהאו בארץ
רחל ארזי - מנהלת תחום ארגון והדרכה ביהאו
יונתן בן-ארצי - מנכ"ל נטקינג
מרק גזית - סמנכ"ל מחקר ופיתוח, נטוויז'ן
עופר שני - עורך ראשי בוואלה
נדב נעמן - מנהל מחלקת התמיכה הטכנית של
אינטרנט זהב
עופר לידר - ראש מחלקת אבטחה, אינטרנט זהב
בועז לוינשטיין - ראש צוות בכיר במחלקת אבטחה,
אינטרנט זהב
אלי הכהן - עיתונאי ומומחה אינטרנט
סמדר הירש
טניה הרשמן
נירה הרשמן
היו"ר ענת מאור
¶
אני מתכבדת לפתוח את ישיבת הוועדה לענייני
מחקר ופיתוח מדעי וטכנולוגי.
אנחנו נקראנו לנושא בעקבות האירועים הדרמטיים שהיו בנושא הזה בארצות-הברית. יחד עם זאת, זאת לא פעם הראשונה שאנחנו עוסקים בכך. הוועדה עסקה בנושא גם בכנסת הקודמת וגם בכנסת הזו כאשר דיברנו יותר על הבעיה של תופעות שליליות אחרות. אני רוצה להזכיר שאנחנו רואים כללית בכל נושא המחשבים והאינטרנט דברים שהם מאוד חיוביים עם בעצם תמיכה אדירה לקראת עולם העתיד. הקמנו כאן ועדת משנה בראשות חבר הכנסת מיכאל איתן לנושא האינטרנט, אבל עם זאת אנחנו לא עושים את חלוקת העבודה כשאנחנו מופקדים רק על הקידום, על הטכנולוגיה, על הכלכלה, על המסחר, על התרבות, על האופקים שיכולים לצמוח מכך אלא גם איך אנחנו מתמודדים, איך אנחנו מונעים ואיך אנחנו בולמים תופעות שליליות.
אני לא אחזור ואתייחס לפרטים על מה שקרה בארצות-ברית. די לציין את העובדה שחלק מהאנשים הישוו את מה שקרה שם לאחד מאסונות הטרור הגדולים שגרמו להתערבותו האישית של נשיא ארצות-הברית מתוך טענה שהפגיעה, ובעיקר סדר הגודל של האיום שיכול לקרות כתוצאה מהשארת הנושא ללא טיפול וללא אמצעים, עלולים להיות מאוד קריטיים. אנחנו יודעים שיש מספר אפשרויות לבצע את החבלות, את הטרור, את הפגעים ואנחנו יודעים את הנזקים המאוד גדולים בין אם זה פגיעה בסודיות המידע, באמינות המידע, בזמינות המידע, בתדמית של המוסד ובין אם זה בנזקים ישירים.
לפני שאני אציג את השאלות שעומדות לדיון, אני רוצה להודות למר גזית, מנכ"ל מחקר ופיתוח בחברת נטוויז'ן, וברשותך, כמו שסיכמנו, יש לך דקות ספורות להציג את הנושא על-מנת שניכנס אליו בצורה יצירתית וויזואלית לנושא הדיון.
מארק גזית
¶
אני אתחיל ישר בשאלה מה זה אינטרנט. תרגום
המילה אינטרנט זה חיבור בין רשתות ובנושא של אבטחת מידע, יש לזה משמעות. בעצם אינטרנט זה אוסף רב של מחשבים, של רשתות שונות, רשתות פרטיות, וכל הרשתות האלו, כל המחשבים האלו מדברים בשפה אחת ובשפה הזו כל המחשבים שווים. המחשב שלי שיושב על המרפסת שלי מבחינת רשת האינטרנט, מבחינת המיקום שלו ברשת האינטרנט, יש לו כוח זהה או מעמד זהה למחשב של פנטגון כאשר לשניהם יש כתובת וזה מה שמציין אותם. ברשת הזאת כולם יכולים לדבר עם כולם. כמו שאמר אחד ממייסדי האינטרנט שהדבר הטוב באינטרנט, זה שכולם מחוברים לכולם. הדבר הנורא והמפחיד ברשת האינטרנט זה שכולם מחוברים לכולם, כולם יכולים לגשת לכולם. אפשר לראות כאן את הציור של רשת האינטרנט.
כשאנחנו מדברים על אבטחת מידע או מצד שני כשאנחנו מדברים על פריצה למערכות, אנחנו מדברים בעצם על מספר שכבות של אבטחת מידע. שכבה ראשונה זה כמו מערכת בנקאית, הכספת, או אותו מחשב שעליו רצה מערכת ההפעלה ועליו רצה האפליקציה שלנו. כמו לדוגמה אתר של פנטגון או כמו 'יהאו', או כמו אתר הכנסת, מחשב שעליו יש את האפליקציה. אחר-כך יש מישהו ששומר על המחשב הזה, כמו שבבנק יש שומר סף, גם כאן יש שומר סף שבדרך כלל קוראים לו 'פייר וול'. יש העברת אינפורמציה בין המשתמש לאתר, לדוגמה במסחר אלקטרוני. במערכת הבנקאית אנחנו עושים את זה באמצעות מכונית משוריינת ואבטחת מידע אנחנו עושים באמצעות הצפנה, כאשר אנחנו לוקחים ומצפינים את המידע ואנחנו מקווים שההאקר או מי שיושב בדרך ומאזין למידע, לא יוכל לקרוא את המידע. כמובן בקצה יש את המשתמש קצה.
מאוד קשה להגן על משתמש קצה. אני לא אדבר על זה כי משתמש קצה זה כל אחד מאתנו שיש לו מחשב בבית והמחשב הזה, אף אחד לא שולט עליו ולמחשב הזה אנחנו מורידים כל מיני תוכנות מהאינטרנט והרבה מאוד האקרים מנצלים את העובדה שהמחשבים של משתמשי הקצה לא כל כך מוגנים והם מכניסים לשם תוכנות קטנות במטרה אחרי כן לעשות כל מיני דברים מגונים.
בשרתים עצמם, במכשירים הגדולים עצמם יש חורים והאקר חכם או אפילו קצת פחות חכם, אבל שיש לו גישה לאינטרנט והוא יכול להוריד את האינפורמציה, יכול לזהות את החורים האלו ולהשתמש בהם. חור ראשון הוא לא חור טכנולוגי אלא חור ראשון הוא חור של סיסמאות. אנחנו בתור אנשים בוחרים סיסמאות שקל לנו לזכור אותן. קל לנו לזכור, זה אומר שזאת איזושהי מילה ואולי מספר ליד. היום יש מילונים של מלים באנגלית ומלים בעברית בכתיב אנגלי ומלים בסינית בכתיב אנגלי וכל מה שצריך לקחת זה לקחת תוכנת מחשב ולנסות את כל המלים האלה ובסוף מצליחים להיכנס למחשב.
יש באגים במערכת הפעלה, כמעט כל חברה, אפילו מייקרוסופט לפעמים יש לה באגים. יש הרבה מאוד חשבונות שנמצאים במחשבים שמאפשרים שליטה על המחשב אבל מאפשרים גם את החדירה למחשב. צריך לזכור שהיום ההאקר הקטן הזה שתמיד פחדנו ממנו שיושב בביתו הפרטי באמצע הלילה ומנסה לפרוץ למחשב ספציפי, ואנחנו חשבנו שאם המחשב שלנו לא כל כך חשוב ברשת, אז ההאקר הזה לא יגיע אלינו, זה לא המצב היום. אני רואה פה אנשים שאמונים על המערכת. היום המצב הוא של ניסיונות פריצה רחבים. זאת אומרת, היום להאקרים יש מחשבים גדולים, לפעמים הם פורצים למחשבים של האוניברסיטאות, ומה שהם עושים, הם פשוט מנסים לסרוק מרחבים. לדוגמה, אנחנו רואים די הרבה ניסיונות פריצה של כל המחשבים של מדינת ישראל. פשוט, מישהו לוקח ועושה סריקה של כל מרחב הכתובות של מדינת ישראל, דבר שלדעתי מצריך חשיבה ממלכתית. כאן כבר לא מספיק שגוף פרטי זה או אחר ישים מערך אבטחת מידע אלא פה צריכה להיות תשומת לב ממלכתית. אנחנו מדברים על יותר ויותר משאבים אמיתיים, משאבים לאומיים, משאבים מסחריים שעולים לרשת האינטרנט.
מארק גזית
¶
אני אמסור את המידע ואעשה זאת מצד ספקי
האינטרנט. מטבע הדברים כמעט כל התעבורה של האינטרנט העולמית לישראל עוברת דרכנו. אנחנו רואים עשרות רבות של ניסיונות פריצה בשבוע. אנחנו רואים מאות ניסיונות פריצה פחות רציניים של ילדים שהורידו תוכנה מהאינטרנט ומנסים להשתמש בה. צריך לזכור שמאות ניסיונות הפריצה הילדותיים האלו יכולים להיגמר בנזק כי התוכנות שהילדים מריצים הן תוכניות מאוד חזקות. היום לא צריך להיות האקר מקצועי כדי לפרוץ למחשב.
מארק גזית
¶
קודם כל, אנחנו מנסים לעזור ללקוחותינו כי זה
מה שאנחנו יכולים לעשות. אנחנו בונים מערכי אבטחת מידע, אנחנו שמים מערכות אבטחת מידע ומאפיינים אותן כאשר בין לקוחותינו גם הכנסת. הקמנו צוות שמחפש כל מיני פגיעות אפשריות, מחפש וירוסים וסוסים טרויאנים ודלתות אחוריות. אנחנו מוציאים חוברות למשתמשים שלנו עם הוראות איך להתגונן בפני הדברים הללו. אני יודע שספקי האינטרנט האחרים גם מנסים לעשות את זה. אנחנו יושבים – ומיכאל איתן שותף לנושא הזה – בחשיבה להקים ועדה קצת יותר ממלכתית, ועדה שתרכז הן את ספקי האינטרנט והן את יצרני התוכנה, כי גם הם צריכים להיות שותפים במאמץ.
מארק גזית
¶
הם שותפים אבל עדיין אני לא חושב שיש בישראל
גוף ממלכתי אחיד שמרכז את כל הנושאים. אני יודע שחבר הכנסת מיכאל איתן מאוד פעיל בנושא הזה. הנכונות אדירה, כולם רוצים להיות שם. צריך לזכור שסיסטם אדמיניסטרטור של כל מערכת, אין לו זמן לעקוב אחרי הדברים האלו והוא רוצה שמישהו יעזור לו.
דבר אחד שאני רוצה להוסיף זה את נושא החינוך. אני חושב שכאן להסברה, לממשל ולכנסת יש מה לתרום, כי עדיין בישראל חדירה למחשבים נחשבת לאתגר, נחשבת למשהו מדהים, ואנשים שוכחים שזה מפריע לאנשים אחרים לגלוש, זה מפריע לפעילות תקינה של רשת האינטרנט וזה גם לא חוקי לפי החוק הישראלי.
מארק גזית
¶
חד-משמעית. לדוגמה, יש חוק ישראלי לפשעי
מחשב שקובע שחדירה למחשב שלא כדין דינה איקס שנות מאסר וכולי, אבל אם כולנו שמענו על משהו שהיה נגד 'יהאו' או נגד אחרים שבהם לא הייתה חדירה למחשב אלא הייתה סך הכל העמסה של מחשב או תקיפה של רשתות מחשוב וחוק המחשבים לא מטפל בזה. זאת אומרת, לפי חוק המחשבים לצורך העניין לא הייתה כאן עבירה פלילית.
היו"ר ענת מאור
¶
זו הייתה הפתיחה ואחר-כך תהיינה התייחסויות.
תודה.
אני רוצה להמשיך בפתיחה ולומר שהתכוונתי להתחיל מהסוגיה שבעצם העלה מארק גזית. אחרי הפתיחה שלי ושל חבר הכנסת איתן נשמע את יגאל בצר ממשרד ראש-הממשלה שייתן לנו תשובה מהצד הממסדי.
הסוגייה הראשונה היא האם באמת מדובר במשובת נעורים, האם מדובר באתגר או עבירה, כאשר קודם כל זה מעשה לפני העבירה, מעשה שהוא חמור, מעשה שיש בו נזקים וצריך לטפל גם ברמה החינוכית בהתאם. פעם קראו לכל גניבה, סחיבה, הווי של הפלמ"ח, אבל היום למדנו שזה נקרא גניבה וחדירה לרשות הפרט ורשות הרבים. אני חושבת שזו המטרה הראשונה של הישיבה, אלא אם יש גישות אחרות. זאת אומרת, הסחבקיות והאתגריות, להיות פורץ ולהיות מסוגל לנצח את הממסד ואת הטכנולוגיה, זה חלק מהתרבות שאולי גורמת להיקף כל כך נרחב של מאות ניסיונות בשבוע.
השאלה השנייה שאני רוצה לשאול היא מה נעשה מטעם המדינה, מטעם ראש-הממשלה. אגב, חלק מן החומר הונח על השולחן.
הסוגייה השלישית היא מאוד בעייתית במדינת ישראל. חלק מהיכולת להתמודד עם זה, שתהיה שקיפות, שיהיה מידע, ויש לנו בעיה אמיתית של המגזר הביטחוני. אנחנו לא מתכוונים לפרוץ את גבולות המותר. לא באנו לכאן כדי להלקות אלא לראות איך מטפלים. השאלה היא איך פותרים את המתח ואיך יוצרים איזון ראוי בין התמודדות רחבה ככל הניתן לבין הסוגיות של המגזר הביטחוני. יש סוגייה עקרונית שהיא נכונה לא רק לישראל אלא לכל העולם. זאת אומרת, עצם הדיון איך להתמודד אולי נותן רעיונות נוספים והשאלה היא איך אתם מציעים שננהג בסוגייה הזו. בוועדה למעמד האישה אנחנו נתקלים באותו נושא, האם כל הדיון על רצח נשים לא מכניס באותה עת גם רעיונות לרוצחים פוטנציאליים.
הסוגייה החקיקתית. אני רוצה להזכיר שבשנים האחרונות למעשה עסקנו במספר חוקים שקשורים בהיבטים שונים כאשר הראשון זה חוק הגנת הפרטיות. השאלה היא האם יש בו די, האם צריך לתקן אותו או להרחיב אותו. אני למשל הגשתי הצעת חוק פרטית שמטרתה להגדיר במפורש בתוך הגנת הפרטיות, שגם חדירה למחשב של אדם באופן ישיר או באופן מכוון, לרבות רשת האינטרנט, רשתות מחשבים או באמצעות כלי אחר תהיה עבירה על חוק הפרטיות. האם יש צורך בחוק הזה? האם יש צורך לרכז בו את המאמצים, להרחיב אותו? יש לנו את חוק המחשבים שעבר בשנת 1995 ואולי צריך להכניס בו שינויים. יש לנו את חוק הגנת חופש המידע שעבר רק לאחרונה והשאלה האם הוא פרוץ מדי או הפוך.
הסוגייה הבאה היא הענישה והשאלה אם בחקיקה קיימת ענישה מספקת ובאיזו מידה אתם רואים בענישה כלי רלוונטי, כי אולי יש אמצעים אחרים. ענישה זה החל מקנסות גבוהים יותר, המשך במאסר ממושך יותר. למשל, על-פי החוק האמריקאי דינה של העבירה הוא חמש שנות מאסר. בחוק הישראלי אין מקבילה כזאת.
היו"ר ענת מאור
¶
השאלה אם בחוק הקיים אנחנו יכולים להשתמש
בצורה מספקת.
סוגייה אחרונה שהיא בהחלט אקטואלית. בעוד אנחנו מקיימים את הוועדה הזו, יצא זימון לכנס האקרים בינלאומי בישראל. אני רוצה לשמוע את הדעות בקשר לכך ושיאמרו לי האם יש בנושא הזה לא רק עידוד אלא גם לגיטימציה. כותבים בתקשורת שעושים כנס גנבים בישראל או כנס פורצים לכספות בישראל. אם כך, האם אנחנו צריכים לנקוט עמדה כועדה ולפעול כדי שהוא לא יתקיים? הכנס אמור להתקיים בסוף חודש מרץ בצורה פומבית וגלויה.
יגאל בצר
¶
אפתח בנושא הפופולריות שעדיין רווחת משום
מה בנושא של חדירה למערכות מידע. ציינת שזה נתפס כגניבה לקומזיץ, ובימים אלה זה לא נתפס עדיין כעבירה ועדיין יש כאלה שרצים לספר לחבר'ה שהצליחו לחדור למערכות וזה נתפס כגבורה אולי. יש לראות בחומרה רבה יותר את העשייה הזאת של חדירה בלתי נסבלת למטרות לא ראויות.
לגבי הכנס. כאזרח, גם כעובד ציבור, הייתי מצפה שכנס כזה לא יתקיים. לא יתכן שמחר יהיה כנס של פורצי מערכות ממשלתיות כדי להראות לנו אולי איך אנחנו לא מוגנים, מחר יהיה כנס של תוקפי נשים כדי להראות לציבור שהנשים אינן מוגנות. אני פונה להאקרים ומבקש שיניחו לגופים הציבוריים לפעול ולהגן על עצמם. שמישהו לא יאמר שבעצם החדירה למערכות הוא מגלה לי חורים שיש אצלי, כי אנחנו נסתדר. יבוא מחר מישהו שיעשה כנס פורצי בתים ודירות בקומת קרקע, כנס בינלאומי ראשון במדינת ישראל. אני אשמח אם לא יתקיים כנס כזה. אם הם ירצו לעשות פעילות אחרת, אין לנו עניין בנושא הזה.
פעילות הממשלה בתחום הזה נסמכת על קיומן של תקנות, של נהלים, שעניינם להדק ולצמצם את האפשרות של אנשים רעים למיניהם לפגוע במערכות המידע. הממשלה הקימה, על-סמך ביקורות המדינה שחזרו ונישנו במשך שנים רבות, שתי ישויות שעוסקות בנושא אבטחת מידע רגיש שאינו ביטחוני במדינת ישראל - משרדי הממשלה, מוסדותיה ורשויות על-פי חוק – מועצה לאבטחת מידע ויחידה שמיישמת את מדיניות המועצה בדרך של נהלים, הנחיה, קביעת כלים, הטמעה של הנושא בכל מגזר ובעיקר במגזר הציבורי. בימים אלה הפצנו במשרדי הממשלה נוהל חדש, נוהל מסגרת שמכסה את הטיפול במערכות המידע במשרדי הממשלה ובמידע עצמו כמובן. יישומו והיוועצות במומחים ברמה עליונה עשוי לצמצם במידה מירבית – אני לא יודע אם לגמרי כי אין סגירה הרמטית - את הפגיעה במערכות המידע. לעתים אנחנו נתפסים רק לקטע של חדירה דרך התקשורת וזה נושא חם וחדשותי. יש עוד תיקונים רבים אחרים וזה אחד מתוך התרחישים שראוי לנו להתגונן בפניהם על-ידי סדרות רגילות של אבטחת ידע, אבטחה פיזית, אבטחה לוגית, אבטחת התקשורת, דגש בימים אלה, אבטחת נאמנות, מי הם האנשים שמטפלים לנו במערכות וכן הלאה. כלומר, זה מכלול שלם של עשייה שלא נגמרת עד שהמערכת לא מושבתת ונסתיימה פעילותה. כלומר, מרגע שמערכת מוכרת, כל זמן שהיא פועלת, יש להגן על המידע ועל המערכת עצמה כדי שלא יפגע בה מישהו בשוגג או במזיד וזאת על-פי נהלים ושגרות שמוכרות להרבה אנשים שיושבים פה בינינו.
בנייר שחולק כאן תוכלו לראות שקבענו מדיניות של הממשלה לאבטחת מידע בגופים ציבוריים. זוהי המלצה לארגונים אחרים שאינם נמנים על הגופים שמונחים על-ידינו לקיים את המדיניות הזאת, לאמץ אותה, להתאים אותה לצרכיהם המיוחדים, המסחריים, האקדמיים וליישם אותה. אנחנו בדעה שיש ליישם מדיניות זו, וכל ארגון חייב שתהיה לו מדיניות לאבטחת מידע לצד פעילויות נוספות.
לנושא חקיקה. הייתי אומר שדינה של חקיקה הוא שהיא יותר איטית מאשר הטכנולוגיה שמתקדמת בצעדים מואצים ביותר. תמיד יהיה איזה מרווח בין היכולת שלנו להתאים את עצמנו לסביבה המשתנה. ראוי שזה יהיה קצר ככל הניתן. בחוקים הקיימים ראוי שיוכנסו עדכונים לנושאים השונים.
היו"ר ענת מאור
¶
אני רוצה להזכירך שעל החקיקה אחראית
הממשלה. מעבר לאמירה שזה ראוי, האם משרד המשפטים או משרד אחר הנוגע בדבר שוקד על זה?
יגאל בצר
¶
הייתי אומר שיש חשיבה בנושא הזה. הייתי מצפה
שהיא תיעשה בצורה יותר מסיבית. אני לא יכול לדבר בשמו של משרד המשפטים, אבל כאזרח הייתי מבקש שהעשייה הזו תתבצע במהירות יותר גבוהה ובהתאמה יותר רבה לשינויים בטכנולוגיה. חוק לא יכול לענות על כל התרחישים שמשתנים חדשות לבקרים. הארגונים עצמם חייבים לסמוך לא רק על החוק אלא גם על עצם קיומם.
ענת אסיף
¶
אני אתנצל מראש, אבל מכיוון שקיבלתי את
החומר לישיבה הזאת רק הבוקר, לא נדרשתי להביא עדכון כלשהו, למיטב ידיעתי, כמו שאמר נציג משרד ראש-הממשלה, יש כל הזמן חשיבה בנושא. לא ידוע לי כרגע על יוזמה ספציפית לחקיקה ממשלתית לעדכון חוק המחשבים.
מיכאל איתן
¶
אולי את יכולה להסביר לנו בכלל לגבי כל הנושא
של החקיקה. נדמה לי שבחקיקת האינטרנט, לאו דווקא בהיבטים הפליליים, יש צוות אצלכם שנערך לדברים הללו. אני יודע שטניה שפניץ חברה בחלק מהוועדות לזיהוי דיגיטלי וכולי.
ענת אסיף
¶
נכון. אני עובדת במחלקת חקיקה פלילית. כמו
שאמרת, זה דווקא לא נושא של חקיקה פלילית. אם יהיה אפשר להעביר לוועדה איזשהו עדכון בכתב, זאת נראית לי הדרך הכי יעילה.
ויקטור ברילובסקי
¶
כידוע אין גבולות באינטרנט, אין גבול בין ישראל
לבין מדינה אחרת, כך שיכול להיות שצריכה להיות חקיקה בינלאומית כי אי-אפשר לפעול במסגרת מדינה בודדת.
היו"ר ענת מאור
¶
אני מבקשת לקבל תשובה גם בנושא הזה. כמו
בתחומים אחרים למדנו שאם זה לא יהיה משהו בינלאומי, האפקטיביות יורדת.
רפי הוידה
¶
רציתי לעדכן במספר פעילויות שיש להן השלכה
על התקשורת כאשר כמובן כפועל יוצא יש את נושא האבטחה ומניעת נזק למערכת תקשורת.
בשנת 1999 הוסמך שר התקשורת לתת הוראות לבעל רשיון בזק כלשהו, וכמובן זה לרבות הוראות לפי בקשה של כוחות הביטחון, וכאן מצוין צה"ל, שב"כ ומשטרת ישראל. כלומר, יש במסגרת תיקון החקיקה הזה לאפשר נספחי ביטחון לכל הרשיונות לכל המפעילים הכלליים והמיוחדים. הדבר הזה מכסה למעשה את כל הציבור שמפעיל תקשורת על-פי רשיון והיתר על-פי חוק. כמובן זה כולל את נושא אבטחת המידע, זה כולל את אבטחת ציוד והמתקנים אצל כל בעל רשיון.
רפי הוידה
¶
כן.
חוק אחר הוא בחוק להסדרת הביטחון בגופים
ציבוריים. החוק מטיל חובה על המפעילים למנות ממונה ביטחון והוא פועל על-פי הנחיות מקצועיות של בזק וקצין משטרה.
דבר נוסף שנעשה כניסיון במסגרת תיקון לחוק הבזק לנושא מרמה, ואתם ודאי זוכרים את נושא המרמה בחברת פלאפון, והוכנה הצעה במסגרת התיקונים לחוק הבזק במסגרת חוק ההסדרים האחרון אשר היה אמור להרחיב את האחריות הפלילית על אחזקה של כל אמצעי לרבות תוכנה שנועדה לאפשר השגת שירות בזק או שידורים למנויים במרמה או בתחבולה. מה שקרה הוא שההצעה הזאת נמצאה בלתי מתאימה לחוק ההסדרים והועברה לטיפול במסגרת הליך חקיקה רגיל. זה כמובן יגיע לוועדת שרים לענייני חקיקה.
רפי הוידה
¶
לא. אני חושב שהמקרה של פלאפון היה המקרה
שהוביל לקראת הצורך.
נוסף לזה הייתה גם פעולה במכון התקנים להכנת תקן להיערכות אבטחתית של ארגון שמתחבר לרשת התקשורת ואולי נציג מכון התקנים יבהיר את זה.
עד כאן הפעולות שנעשו ואני חושב שזה מבהיר משהו.
יגאל בצר
¶
לגבי ההיערכות המערכתית של מדינת ישראל.
קיימת פעילות. לא ניתן לפתוח את כל הדברים בפורום זה, אבל יש חשיבה מערכתית. מהדברים שהתפרסמו עד כה הייתה ישיבה לפני כשבועיים בוועדת החוץ והביטחון ונושא עיקרי שעלה היה הקמת רשות עליונה לאבטחת מידע ומערכי מידע קריטיים לניהולה התקין של מדינת ישראל. כל הגופים היו מאוחדים בדעתם על כך שיש להקים רשות עליונה שתאחד את כל הכוחות הקיימים ותטפל בצורה מערכתית בכל הסוגיה הזאת שאחת ממנה היא פריצה דרך האינטרנט וסוגיות אחרות וזה ייעשה בצורה ממלכתית הולמת.
מיכאל איתן
¶
אני לא יודע מאיפה בדיוק להתחיל, אבל בואו
נאמר שהנושא של ההאקרים הוא בעצם רק חלק ממה שאנחנו מדברים, בנושא של ביטחון המידע וביטחון הרשת. ישראל היום מדינה מפגרת מבין המדינות המפותחות בעולם בהיקף הפעילות שלה באינטרנט, ואני מציע לכולנו שאחרי כל הסיפורים והטפיחות העצמיות על השכם, החל מהיום כל בן-אדם ידע את האמת וידע שישראל התדרדרה מהמקום ה14- לפני שלוש שנים למקום ה23- לפי המחקרים האחרונים בכמות המשתמשים ברשת. כדאי שנדע את מקומנו וצריך לפעול כמובן לשנות את המציאות הזאת. אם ימשיכו הלאה הטפיחות על השכם והמחשבה שאנחנו הכי גדולים ויש לנו את הממציאים הכי גדולים וכולם אצלנו בכיס הקטן – אז המציאות תטפח על פנינו בצורה הרבה יותר חזקה בעתיד של עוד ארבע-חמש שנים. יש תהליך של התדרדרות מבחינת ההתייחסות של הממשלה ומבחינת ההתייחסות של הסקטור הציבורי לעומת הצלחות של הסקטור הפרטי.
כאשר אנחנו מתייחסים לאינטרנט בהיבטים החופשיים שלו, אנחנו יכולים לומר גם כאן שהאינטרנט הוכיח את עצמו בעצם כדבר שהתפתח ללא משטרה, ללא מדינות, ללא ממשלות כמעט, למעט הממשל האמריקאי אולי שדחף. הממשל האמריקאי תרם אבל הוא לא התערב, הוא לא חוקק את החוקים, הוא לא קבע את התקנות. הוא נתן לרשת הזאת להתפתח ללא התערבות הממשל. הסתבר שתופעה אדירה בקנה מידה אדיר יכולה להתרחש בלי שפוליטיקאים מנהלים אותה. קרה אסון כזה וצריך להביא את זה בחשבון ולראות את הצד החיובי.
מצד שני בהחלט אני לבד מדבר על כך שהסקטור הציבורי צריך להיכנס למעורבות כי בהחלט תופעה כזאת שמתחילה כפי שהתחילה והוכיחה שאפשר לעשות את זה, יש גורמים בחברה, אותם גורמים שיכולים לנצל את זה לרעה והניצול לרעה מחייב איזושהי התארגנות. ההתארגנות הזו צריכה להיות מכוונת לנושא הביטחון, בהחלט כן, בעמידה מינימלית ותוך הבנת כל המערכת. לדעתי נקודת המוצא צריכה להיות מבחן הכוונה. לא תמיד רק מבחן הנזק אלא מבחן הכוונה.
כשאני מדבר על היערכות, אני אומר שהסכנה הגדולה היא לאו דווקא בהכרח מההאקרים. יכולה להיות סכנה למדינה מודרנית שהתשתיות שלה מבוססות כולן על מחשבים ועל תקשורת מחשבים, למשל מארגוני טרור שיכולים את הרצון שלהם לפגוע במדינה לבסס על מלחמת מידע ועל פגיעה בתשתיות קריטיות. אני לא רוצה לתאר לכם תסריטי אימה מה קורה כאשר גוף טרוריסטי רוכש ידע ורוצה להפעיל איזושהי מתקפת טרור על משהו לא פחות ולא יותר משדה תעופה. לכן אני חושב שכשאנחנו דנים בתופעה הזאת, אני מברך את יושבת-הראש שבעקבות מה שקרה בארצות-הברית נזעקה לבעיה, אבל זאת לא יכולה להיות תופעה שעונים עליה על-פי כותרות העיתונים. הממשלה בקטע של הגנה על התשתיות הקריטיות, כפי שעשו גדולים וטובים ומומחים מאתנו בארצות-הברית, צריכה להיערך על-מנת לתת תשובה גם אזרחית וגם ביטחונית.
בתקופת היותי חלק מתוך המערכת יזמתי פניות לגורמים בעולם, בארצות-הברית, גם למערכת הביטחון, גם למערכות האזרחיות בניסיון להקים מערכים שיכולים לתת תשובות. אני לא רוצה להרחיב את הדיבור, אבל אני יכול לומר בקשר לאספקט הביטחוני שהיה כאן יום האינטרנט, טכנולוגיית המידע, אני דאגתי שבוועדת החוץ והביטחון יהיה דיון בנושא הזה וזה היה במסגרת אותו יום שעשינו כשהם עסקו בהיבטים הביטחוניים. אני מקווה שהתיאומים והבעיות הבירוקרטיות ייעלמו ואפשר יהיה ליצור איזשהו מערך, אבל צריך להיות גם מערך ישראלי. הייתה נכונות של הסקטור הפרטי לתת כסף על-מנת שנקים כאן איזשהו מערך שיספק מידע, שיעקוב אחרי מה שקורה ברשת, גם איגוד האינטרנט היה מוכן לשתף פעולה, אבל אין מספיק עורף ממשלתי לתת את השירותים המינימליים שהמערכת שבה מעורבים היום מאות אלפי בני אדם בישראל צריכים אותם. בעולם יש מערכת אזרחית שמנסה לתת מענה אזרחי לפגיעות, לווירוסים ברשת, התרעות מוקדמות וכולי ואני חשבתי שיהיה מקום שישראל תעשה את זה, אבל היה חסר את התקציב הממשלתי על-מנת להטמיע את הפרוייקט כדי שאחר-כך יוכל להחזיק את עצמו.
אני מבין שהזמן שלי מאוד מצומצם ולכן אני אגע עכשיו בנושא ההאקרים עצמם. לגבי האירוע. חבל שהיושבת-ראש לא התייעצה אתי, לפחות היית שומעת את דעתי לפני את יוצאת במכתב כל כך קיצוני ליועץ המשפטי לממשלה. אני כמובן לא רוצה לעודד תופעות של פגיעה וגרימת נזקים והתערבות, עבירה על החוק – בשום פנים ואופן לא. אבל תמיד יש גם אבל והאבל הזה אומר איך אנחנו מטפלים בתופעות שונות שהן תופעות חריגות. האם אנחנו יורדים בכסאח בלי לעשות חשבון ולפעמים עושים נזקים אולי יותר גדולים או שאנחנו יכולים לחפש תופעות מסוימות שאנחנו רואים שאלו תופעות שמעורבים בהם אנשים שאין להם שום כוונה פלילית אלא להפך, יש להם אולי כוונות אחרות והמניעים שלהם הם אחרים. השאלה היא האם אנחנו יכולים באיזושהי צורה לרתום את התופעות בצורה החיובית. אני לא נכנס כרגע לכל ההיבט של התופעה של ההאקרים ואיך מטפלים בה, אבל בנושא של הקונגרס, קונגרסים כאלו מתקיימים. אני אישית ביקרתי באתר כבר לפני שנתיים ושלוש בקונגרסים שהיו בלאס-וגאס אבל נודע לי שיש כאלה בכל מיני מקומות נוספים בעולם. מי מגיע לקונגרסים האלה? מגיעים קהלים שונים, אבל כשמשהו נעשה בצורה פתוחה לחלוטין לעיני השמש, כאשר כל גורמי אבטחת המידע מגיעים לשם, כאשר ה-FBI נמצא שם, אז האם אנחנו חושבים שיש כאן איזשהו אלמנט שהמטרה שלו היא פלילית? ברור שאם היה היום כנס של כל ברוני הסמים, הם לא היו מעיזים לעשות את זה בגני התערוכה בתל-אביב ומודיעים על סדר היום שלהם, מה הם עושים ובאיזה שיטות הם מעבירים סמים. זה ההבדל. לכן א-אפשר לבוא ולומר שמה שנעשה כאן, גם אם יש לנו בעיה שאתה אנחנו צריכים להתמודד - ואני לא רוצה שתהיה מפי איזושהי הכרה ועידוד לפגיעות נוסח מה שהיה – אני יודע שיש גם רבים מאוד בקהיליית האינטרנט שמגנים את כל הפעילויות הללו. אני אומר שהגישה צריכה להיות יותר נבונה, מבינה ורחבת היקף על-מנת שיהיו לנו תוצאות חיוביות.
אני רוצה בהזדמנות החגיגית הזאת להציע. אתמול בערב צלצלה אלי הגברת נאורה שם-שאול שהיא מרצה באוניברסיטת תל-אביב על תרבות האינטרנט והיא אחד הגורמים שמעורבים בארגון הכנס הזה. היא נמצאת על המסך שלי כרגע ועוקבת דרך ערוץ 33 אחר הדיון הזה. אני חושב שזו תהיה דמוקרטיה ישירה ON LINE אם נוכל לאפשר לה להגיב באיזושהי צורה. אני אקריא את מה שהיא כותבת ובהמשך הדיון אני מקווה שתינתן לה רשות הדיבור.
היו"ר ענת מאור
¶
בהקשר לתפיסה שהציג חבר הכנסת איתן, אני
מסכימה אתה, בסך הכל התפקיד הממשלתי הוא ליצור את אותו גוף מכונן או גוף כללי שיעשה את הקשר בין המשרדים השונים וידביק את הקצב. אני רוצה לשאול את יגאל בצר האם יש פעילות משותפת ביניכם? שמענו שהקימו מינהלת ללוחמה מכוננת בראשות אלוף במילואים שפר. אם יש תיאום, באיזו מידה מעורבים גם משרדים אחרים? האם אכן הוקמה רשות ממלכתית מרכזית לנושא?
בהקשר הזה של כנס ההאקרים, זו באמת דמוקרטיה, אבל קודם כל נשמע כאן מה דעתם של הנוכחים, האם יש בזה לגיטימציה וכולי או שצריך להתמודד עם הנושא.
יגאל בצר
¶
בממשלה יש חשיבה מערכתית לגבי הנושא הזה.
לצערי לא אוכל להרחיב יותר מכך. אמרתי כבר קודם שלפני כשבועיים במסגרת ועדת החוץ והביטחון התחבטו המשתתפים בנושא הזה ואכן יש חשיבה מערכתית בנושא הזה. אני חושב שצעד גדול ראשון נעשה בנושא ובימים אלה מטכסים עצה לקראת הקמה של רשות עליונה לאבטחת מידע. כל הגורמים שיש להם נגיעה לנושא ברמה מערכתית יתבקשו לחוות את דעתם והדברים האלה מתגלגלים בצורה מחושבת לקראת מספר דיוני מערכתיים בנושא. לצערי לא אוכל להרחיב יותר בנושא.
היו"ר ענת מאור
¶
האם יש מתאם או קשר מספיק בין הרמה
הביטחונית במדינת ישראל לבין הרמה האזרחית ציבורית ממלכתית? אם התשובה לא מספקת, זו תהיה באמת התביעה העיקרית והראשונה.
יגאל בצר
¶
יש קשר קיים ואנחנו מנסים להשביח אותו כדי
שיהיה הרבה יותר טוב ומתאים לסיכונים הרבים. הקשר קיים בין הממשלה לבין גורמי הביטחון שעוסקים בנושא.
היו"ר ענת מאור
¶
אנחנו רואים בהקמת מערכת מחוברת בין זו
הביטחונית לבין האזרחית, מערכת שתגן על האזרחים מפני כל התופעה של החדירה לפרטיות והנזקים האפשריים שיכולים להיגרם. אנחנו מבקשים לקבל על כך מידע בנוגע להיערכות הביטחונית. נבקש לקבל את הפרטים תוך כחודש וכמובן לקבל פרטים על ההתקדמות ועל העבודה עצמה.
דורון שקמוני
¶
אני רוצה לגעת בכמה נקודות לגבי אבטחת מידע
ולסכם באיזושהי הצעה או בשורה.
יש כמה נקודות שהן לוקות בתחום אבטחת מידע בארץ, ואני חושב שהיה דוח במסגרת של ועדות היערכות ישראלית שנגע בחלק לא קטן מהדברים. ניהול אבטחת מידע, אם זה באתרים, אם זה אצל ספקי אינטרנט, אם זה במשרדי הממשלה, זו בעיה שבעצם היא זאת שגורמת לחלק גדול מההיחשפות. הפגיעות ששמענו עליהן לפני שבועיים, רובן היו נמנעות אם ניהול אבטחת המידע באותם אתרים היה מוצלח. שם לא נחשפה טכנולוגיה מופלאה חדשה אלא נחשפו כשלים.
היו"ר ענת מאור
¶
יש פה אולי איזו חלוקה לא הוגנת כשהסקטור
הפרטי אומר שייתנו לו את כל הרווחים בנושא של הפיתוח וזה מהווה מטלה על המערכת הציבורית ממלכתית שתבטיח את המידע. האם הנשיאה הכלכלית בעול היא לא על הסקטור הפרטי?
דורון שקמוני
¶
הנשיאה הכלכלית בעול, תמיד היא על בעל
המידע. בעל המידע הוא זה שצריך להגן עליו בכל מקרה ובכל מצב, כמו שבעל מכונית מבטח את מכוניתו. האחריות מוטלת עליו ולא על גוף אחר שצריך לאבטח במקומו.
דורון שקמוני
¶
חסרה מודעות. אמנם יש כבר עלייה במודעות,
אבל עדיין, למרות שהיא תמשיך לעלות, היא חסרה ולוקה. חסר בצורה משוועת כוח אדם מקצועי, כוח אדם מיומן בתחום אבטחת מידע וצריך להשקיע בזה. שוב, לאו דווקא ממשלה, אבל יש צורך להשקיע במחקר ופיתוח בתחום הזה, אם זה במוסדות אקדמיים ואם זה במוסדות אחרים. כמובן הסקטור הפרטי עוסק בזה במרץ, אבל זה לא רק הדבר היחידי. נדרשת עוד הרבה יותר תקינה למרות שנעשתה תקינה מסוימת ואני מניח שנציג מכון התקנים יגיד משהו בנושא, אבל צריך עוד הרבה מימון לתקינה ותקינה בעניין הזה היא חסרת תקציב.
המערכת הממשלתית צריכה לתת דוגמה בנושא של איך נערכים ובמידה רבה היא גם נותנת בהיערכויות שונות, אבל לא כאן המקום לפרט.
אני חושב שצריך להימנע מיוזמות חקיקה פזיזות היות שלעתים הן יכולות להוות פגיעה בחופש הפרט, יכולות להוות פגיעה בפרטיות בצורה זו או אחרת. צריך להיזהר עם חקיקה פזיזה.
הנקודה המרכזית שאני רוצה להתייחס אליה. דיברו כאן הרבה על צורך בתיאום, צורך בשיתוף פעולה בין כל מיני גורמים במישור האזרחי ולא במישור הביטחוני, עליו יש מי שאמון. המושג סרצ' הוא מושג שמקובל בהרבה ארצות וארגונים. היו כמה ניסיונות להקים גוף כזה. בחצי שנה האחרונה איגוד האינטרנט הישראלי עוסק באופן אקטיבי בניסיונות לארגן קונצנזוס שתחתיו יפעל גוף כזה, גוף כלל ארצי.
דורון שקמוני
¶
צריך לארגן קונצנזוס ותקציב ואנחנו פועלים בשני
המישורים. אנחנו יוצאים בהכרזה על הקמת סרצ' ישראלי שיהיה בשיתוף כל הגופים הקשורים בעניין. אנחנו מתחילים את תהליך ההתנעה ובעצם עושים זאת עכשיו. נגיש לוועדה את מסמך הייזום של הגוף הזה ואנחנו מצפים ומאוד מבקשים מכל הסקטורים הרלוונטיים לשתף פעולה משום שבסך הכל זה לטובת כולם וכלל המדינה.
עופר עגור
¶
אני מרכז ועדות ציבוריות שמכינות תקנים
ישראלים במכון התקנים. יש פעילות של עשר שנים, אבל לצערי התקנים לא כל כך מיושמים. יש תקנים לגיבוי מערכות, להיערכות לשעת אסון, לסיסמאות ועכשיו אנחנו מכינים תקנים להרשאות גלישה, לבקרת אירועים, אבל לא כל כך מיישמים אותם. יש לנו תקני מדע שפה ושם מיישמים אותם, אבל לא במלואם.
בעיה שנייה זה נושא של תקציב. יש הרבה נושאים שאנחנו רוצים להכין בהם תקנים ישראלים, אבל אנחנו לא מצליחים להכין.
מכון התקנים נכנס לפעילות די נמרצת הן מבחינת המעבדות, כדי לבדוק גופים מוצהרים לפי התקנים וגם אגף איכות והסמכה אצלנו, איזו 9000, פועל כדי להסמיך גופים לפי תקנים, לפי איזו 9000.
אני חושב שאפשר לעשות יותר ממה שנעשה, אבל גם מה שעושים לא מיושם. דובר כאן על תיאומים, אבל התיאום הזה חסר.
היו"ר ענת מאור
¶
מה לעשות כדי שלא נשמע בעוד שנה-שנתיים
שהתקנים לא מיושמים? מה מנגנון האכיפה שעומד לרשותכם? מה מנגנון הענישה, אם צריך? מה אתם מציעים כדי להתגבר על זה?
עופר עגור
¶
באופן פורמלי אנחנו לא רשאים בכלל לטפל בזה.
אסור לי לדבר על זה מכיוון שאנחנו בסך הכל מכינים תקנים ישראלים ולא מעבר לזה. המשרדים הממשלתיים צריכים לדעת מה אנחנו עושים. משרד התעשייה והמסחר שאחראי עלינו צריך לדעת מה קורה, הממונה על התקינה במשרד התעשייה והמסחר מכיר כל תקן ישראלי.
עופר עגור
¶
משרד התעשייה והמסחר חותם על כל תקן
ישראלי, מכיר אותו ומחליט האם להכריז על התקן כרשמי. ברגע שהתקן הוא רשמי, אם הוא מכריז עליו כרשמי והוא עושה את זה, לתקן יש תוקף של חוק. לצערנו עד היום לא נעשה שום דבר. כלומר, יש לנו לא מעט תקנים ישראלים, אבל כלום לא נעשה ואף תקן לא הוכרז כרשמי. זאת דרך אחת ליישם תקן ישראלי.
דרך אחרת ליישם תקן ישראלי זה בתקנה, לחייב בתקנה. לקבוע שמשרד ממשלתי יחליט לרכוש ציוד לפי תקן ישראלי אבל גם זה לא נעשה.
בכל-זאת יש לנו כן תיאום עם משרדים ממשלתיים כי נציגים של משרד הממשלה משתתפים אצלנו בוועדות התקינה. לא פעם אנחנו מקבלים מימון לנושא מסוים, אם משרד ממשלתי חושב שזה חשוב. אכן לפני כשלוש שנים פעלנו בגלל בעיה שהייתה בממשלה שאמרו שלא רוצים להתחבר לאינטרנט בגלל בעיות של אבטחת מידע וביקשו שנכין תקן ישראלי. התקן התחיל מאבטחת מידע לאינטרנט ואחרי כן הרחיבו אותו וזה כלל התחברות לרשת תקשורת חיצונית. יש מדיניות, מדובר על סקר סיכונים ובסוף יש גם קצת יישום.
אני חושב שבכל-זאת חשוב לשתף את מכון התקנים. הפעילות במכון התקנים היא פעילות שבהחלט כדאי ליישם אותה.
יאיר רודאקוב
¶
אני רוצה להתייחס לדברים שאמר עופר עגור כי
זאת דוגמה טובה למען ידע גם הציבור במדינת ישראל שלמרות אולי המצב שהוצג שמכון התקנים הוציא תקנים, אבל הדברים לא כל כך באים לידי ביטוי בשטח. נוהלי האבטחה של משרד הבריאות, למשל הנוהל הראשון שהיה קיים, נוהל הסיסמאות, הוא נוהל מחייב ואלה הם נהלים מחייבים שחתום עליהם מנכ"ל משרד הבריאות והם מהווים סטנדרט מחייב. זה רק כדי לתת דוגמה שברגע שיש שיתוף פעולה בין אנשי המקצוע בשטח לבין הגוף שיוצר את התקנים, שיתוף הפעולה יכול לבוא לידי ביטוי לאו דווקא בתקנות מחייבות, אבל אין ספק שהיה יותר קל לאנשי המקצוע בשטח לממש את הדרישות אם התקנות באמת היו קיימות, כי אז הן היו מחייבות ולא היה צריך להתמודד בשכנוע.
יאיר רודאקוב
¶
לא הצגתי בעיה. הצגתי מצב שברגע שקיים
סטנדרט שנקבע על-ידי אנשי המקצוע, לעניין זה הוועדה במכון התקנים, הסטנדרט הזה ניתן ליישום.
אברהם הים
¶
אני יועץ לאבטחת מערכות מידע. אני פעיל כבר
כעשר שנים במכון התקנים בייצור תקינה לאבטחת מערכות מידע. אני יכול לומר שהתקנים שעשינו עד היום, וזה על-ידי צוותים מתנדבים, למעט תקן אחד שהיה לו תקציב ממשרד התקשורת כפי שצוין, הם תקנים ישראלים ייחודיים שדומים להם אין היום בעולם.
אברהם הים
¶
זו הייתה הגישה שלנו. היה לי חלק באבטחת
מערכות מידע רפואיות של אירופה וקיבלו בברכה תרומות שהבאתי לשם מדוגמאות התקינה שלנו.
לאחרונה קרה עוד דבר אחד. בחוק ההסדרים נקבע שמפסיקים לעשות תקנים ישראלים והתקנים שיהיו, יהיו אימוץ של תקנים בינלאומיים. התקנים הבינלאומיים, יש ביניהם כאלה שהם טובים מאוד, אבל גם לפעילות האימוץ הזו, כדי להגיע לרמה שאנחנו צריכים היום אבטחת מידע ואבטחת מערכות מידע במדינת ישראל, צריך הרבה כסף כדי לעשות את פעולת האימוץ הזאת.
מ"מ היו"ר מיכאל איתן
¶
אני לא אחראי לדיון שמתקיים כאן, לא ארגנתי
אותו, אבל נדמה לי שאנחנו קצת מתפזרים.
אברהם הים
¶
ברשותך, אני רוצה לגעת בשאלות שהעלתה
יושבת-ראש הוועדה בראשית הדיון. בשנת 1996 בארצות-הברית הקימו רשויות ונתנו חמישים מיליון דולר לשנה כדי לפתח הגנה על מערכות תשתית.
לגבי דברים שצריכים להיעשות כאן. בשעתו הייתי בין היוזמים שהביאו להקמת הפעילות שתיאר אותה יגאל בצר. אני בהחלט חושב שצריך לזרז את הקמת המועצה העליונה שתטפל בנושא הזה ולתקצב את הפעילות הזו בסדרי גודל של התקציב שדרושים למגן את המערכות במדינת ישראל. היום כל ארגון במדינת ישראל מחובר בדרך כזו או אחרת לאינטרנט.
מ"מ היו"ר מיכאל איתן
¶
אני רוצה לחזור לנושא שלנו. הנושא הוא אמנם
כללי, אבל בסופו של דבר המושב הזה כונס לדיון על נושא ההאקרים. ואני רוצה לחזור לעניין הזה ולהעלות בפניכם את הדילמה. אדם שבודק את מערכות אבטחת המידע ומוצא בהן פגם ומדווח לכל העולם ואומר שכאן יש פגם, דינו כמי שמחפש פגמים במערכות המידע, נכנס, גורם נזק וגונב. הדילמה כאן ברורה עם כל השלכותיה ואני לא מרחיב.
יקי מרגלית
¶
חברת אלדין עוסקת באבטחת אינטרנט
ואבטחת מידע. אני מסכים אתך במאה אחוז בהבחנה שצריך לבצע בין קרקרים להאקרים. אני חושב שהדוגמה הכי טובה אלה אנשים שהולכים ברחוב, ניגשים למכוניות ומחפשים דלתות פתוחות. יהיה מי שימצא דלת פתוחה של מכונית, יכנס פנימה ויגנוב אותה, יהיה מי שימצא דלת פתוחה של מכונית, ישאיר שלט גדול שאומר שהמכונית הזו לא הייתה מוגנת. זה ההבדל בין קרקרים להאקרים. זה ההבדל בין מישהו שבכוונת זדון נכנס וגורם נזקים ורוצה להפיל מערכות, לבין מישהו שמחפש פרצות כי הוא אוהב לעשות את זה. אני חושב שהניסיון שלנו למנוע את כנס ההאקרים בישראל הוא מגוחך מנקודת מבטנו וצריך להיעזר בהם. גם הממשל האמריקאי נעזר בהאקרים. כשהוא צריך לפתור בעיות, הוא קורא להם והוא משתף ודווקא יש יחסים מאוד טובים בין ההאקרים הנורמלים והטובים עם הממשל.
יונתן בן-ארצי
¶
אנחנו מתעסקים בהקמת אתרי אינטרנט. אני
מסכים עם דבריו של מר מרגלית. אני מסכים עם העובדה שצריכה להתבצע איזושהי הבחנה בין המונחים השונים.
אני חוזר לדבריך האם קיימת כוונה פלילית, האם הדברים נעשים מתוך מטרות לפגוע בפעילות. אני חושב שאין צורך להרחיב בפורום הזה על חשיבות התפתחות כלכלת האינטרנט ועל הדברים שהיא תביא לתל"ג של המדינה ולתועלות של החברות, הן בסקטור הציבורי והן בסקטור הפרטי במדינת ישראל. אני חושב שכחלק מההתפתחות הזאת יש לכולנו מטרה משותפת להוציא מחוץ לחוק אנשים שבאים לפגוע בפעילויות כלכליות, בפעילויות עסקיות שתפקידם לקדם את ענייני המדינה ואת העסקים שפועלים במדינה. אני מסכים גם עם דברים שנאמרו כאן בנוגע לחקיקה בינלאומית אם כי אני חושב שתפקידנו כאן בישראל הוא קודם כל לטפל בתחומנו על אף הגלובליות של האינטרנט. אנחנו יכולים להביא למצב שבתוך ישראל אנשים שבאים לפגוע – והיום מסתובבים רבים – יהיו מחוץ לחוק ויזהרו מפגיעה בעסקים ובפעילויות אינטרנט שנעשות היום, לא יפריעו להתפתחות המסחר האלקטרוני בישראל ולא יפריעו להתפתחות העסקים השונים בתוך האינטרנט.
אני חושב שלחופש ההתארגנות ולחופש הביטוי, כפי שאנחנו כבר סבלנו בישראל ממקרים מסוימים בהם לא נתנו להם גבול ולא הצבנו גבולות בין חופש התארגנות וחופש ביטוי מלא, צריך להיות גבול מסוים וצריכה להיקבע נורמה ציבורית מסוימת שעל-פיה נפעל ונחליט מה מותר ומה אסור. אני לא חושב שזה נכון לבוא ובטח שלא תחת איצטלת האקרים שתורמים לפעילות נאפשר לקבוצת אנשים – בין אם כוונותיה לעשות טוב או בין אם כוונותיה בסופו של יום לעשות כאילו הם עושים טוב אבל בסופו של דבר הם עושים רע – להתאגד ולהתארגן ולאפשר איזושהי התמסדות כלשהי או מוסד כלשהו שיביא לנזקים לכלכלה ולתעשייה הזאת.
מ"מ היו"ר מיכאל איתן
¶
אני אצטט מה אומרת גברת נאורה שם-שאול
ביחס להערה שאתה הערת. היא אומרת שאולי זה קצת מוזר שכל שבוע אומרים שאיזה ילד גאון פרץ מערכות מחשבים. אם כל שבוע גאון פורץ למערכות מחשבים, אולי הן פרוצות מלכתחילה, מעבר למה שצריך, אולי הן לא משקיעות מספיק בהגנה על עצמן.
יונתן בן-ארצי
¶
אם דלת ביתי נשארה פתוחה בלילה והגיע ילד
גאון, פתח את הדלת ורוקן את הבית, האם זה הופך את המעשה חוקי?
מ"מ היו"ר מיכאל איתן
¶
מסתבר שהגאון כאן הוא לא גאון. זה לא הופך
את המעשי למעשה חוקי אם הוא רוקן לך את הבית. אם הוא בא ואמר לך שהדלת הזו פתוחה, הולכים ותוקעים אותו כמי שגרם את הנזק בכך שהוא חשף שאתה רשלן ואתה משאיר את הדלת שלך פתוחה.
יונתן בן-ארצי
¶
כאן אנחנו חוזרים לטרמינולוגיה שבין האקר
לקרקר. אדם שנכנס, ביצע נזק מכל סוג שהוא – ויש נזקים שבוצעו לאתרים שונים – צריך להיות מוענש וצריך להיות מחוץ לחוק וזה לא חשוב אם הדלת הייתה פתוחה או לא. הנקודה החשובה היא שגם אם נותר פתח ואנחנו כחברה שפועלת בתחום האינטרנט, חברת נטקינג, למדנו הרבה מאוד מקרים שאתה לא יכול להגן עד הסוף בשום מקרה על רשת האינטרנט. אתם חייבים להבין שמדובר כאן ברשת שמחברת בין מחשבים שונים מכל קצוות העולם. יש כאן המון מקום לפרצות והמון מקום לחורי אבטחה. הרשת מטבעה פתוחה ופרוצה וחייבים לקחת בחשבון שאדם שהגיע למקום וזיהה שיש בעיה, אני חושב שההבדל בין האקר חיובי או שלילי יהיה בדרך הפעילות שלו. אם הוא יפרסם ברבים שיש פריצה, הוא עובר על החוק. אם הוא יודיע לבעל האתר או לבעל הפעילות העסקית הכלכלית על הבעיה, זה משהו אחר.
מ"מ היו"ר מיכאל איתן
¶
הנקודה הזו ברורה, מוסכמת ואין עליה חילוקי
דעות. באמצעות ההערה שהעירו כאן רציתי לשאול את עצמנו האם החברות שמציגות את המידע – מבלי לדבר על כך שיש גורמים שליליים שאף אחד מאתנו לא נותן להם גיבוי – ממלאות את חובתן או שהן מרחיבות את מה שאתה אומר ואומרות שממילא הרשת פרוצה ואין מה לעשות ובואו נחפש רק את הצד השני.
יונתן בן-ארצי
¶
בניגוד לעולם הישן שאנחנו מכירים היום שהוא
שונה באלף הבדלות מהעולם החדש אליו אנחנו נכנסים, עולם האינטרנט, שמציג תפיסות חדשות בכל האספקטים של חיי היום יום שלנו, ואני חושב שבעוד כמה שנים מהיום הדברים האלו יהיו יותר ברורים, ברור לחלוטין שהעולם הזה, בניגוד לעולם הקודם, הגבולות של שחור ולבן בו הם לא כל כך תחומים, ברורים וקיצוניים. יש הרבה מאוד שטחים אפורים. בעולם הזה התופעה הזו בולטת מאוד ואני חושב שבנושא של אבטחת מידע – ויושבים כאן מומחים יותר גדולים ממני באבטחת מידע – יש רמות מסוימות של אבטחת מידע שאפשר להגיע אליה בעולם המחשוב ואין את הדרך הסופית לחסום לגמרי ואנחנו חייבים כמדינה אחראית שרוצה לפתח את עסקיה – ואתה דיברת על ההידרדרות שלנו במיקומנו ברמת הגלישה – להשקיע בתכנון ובמחשבה מה חוקי ומה לא חוקי.
גרי ליטוין
¶
אני חושב שאפשר לקבוע חד-משמעית שאין שום
הבדל משמעותי בדפוסי ההתנהגות בין ההאקר הישראלי לבין ההאקרים בכל העולם, כך שאם באמת רוצים לתקוף את הבעיה לדעתי צריך לפנות לערוצים יותר של חינוך מאשר של חקיקה.
בנושא של חוק המחשבים, יש חוק מחשבים עם עונשים די חמורים כאשר העונשים הקבועים בחוק הם בין שלוש עד חמש שנות מאסר. הבעיה היא ביישום של החוק. אני באמת מסכים עם הנאמר כאן לגבי החקיקה החפוזה שאני לא חושב שיש לה מקום. אני לא חושב שמישהו כאן יודע כמה עברייני מחשבים ישבו בבית-הסוהר לתקופות מאסר בפועל מאז כניסת החוק לתוקפו ב1995- והמספר שואף לאפס.
הבעיה מתחילה ולמעשה משתרעת על פני מספר מערכות, גם המשטרה, גם הפרקליטויות וגם בתי-המשפט שאף אחד משלושת הגופים האלה לא ערוכים לטפל כיאות בנושא של אכיפת החוק. נתחיל מהמשטרה שיש לה מחסור רציני בכוח אדם ובאנשים מיומנים, והמשך בפרקליטויות בתי-המשפט שלא מבינים את החומר ולא יודעים כיצד להתמודד אתו. התוצאות מאז חקיקת החוק מדברות בעד עצמן כאשר אף לא עבריין מחשבים ישראלי אחד ישב בבית-הסוהר עד עכשיו וצריך לשאול למה. שוב, החוק קיים אבל צריך לאכוף אותו. אני לא יודע מספרים, אבל אני יודע שהוגשו תביעות, היו אנשים שהורשעו, אבל גם מבין אלו שהורשעו, שנשפטו, שנתפסו, אף אחד לא ישב בבית-הסוהר.
גרי ליטוין
¶
עבדתי עם בועז גוטמן לפני שנים רבות לפני
שיצאתי לסקטור הפרטי, עבדתי כעשרים שנה במשטרת ישראל ובין היתר הקמתי את צוות החקירה וגם הייתי שותף אז בדיונים שהתקיימו בוועדת החוקה חוק ומשפט.
אני מדבר על עבריינות מחשב קלאסית. החוק קיים אבל אין אכיפה. המשטרה משתדלת לא לטפל בדברים האלה בגלל מסות ובעיות אחרות. יכול להיות שאפשר לחדד ולשפר את החוק במידה מסוימת, אבל אין צורך בחקיקה נוספת.
לגבי כנס ההאקרים. אני מסכים עם רוב הדוברים שהשמיעו את דבריהם עד עכשיו. אני חושב שבפירוש זו תהיה שחייה נגד הזרם. יש עשרות כינוסים כאלו בכל העולם וזה לא האירוע של שנת אלפיים או של האלף אלא עוד אירוע מני רבים. אני חושב שהניסיון מוכיח שאחוז גדול של משתתפי הכינוסים האלה הם לא עבריינים אלא אנשי אכיפת החוק, אנשי אבטחת מידע מהסקטור הפרטי והממשלתי, ויש הרבה מה ללמוד. זה משול למצב שבו יש כנס – להבדיל אלף אלפי הבדלות – של פשע מתחום כלשהו כאשר המאפיה מזמינה את שלטונות החוק והם אומרים שהם מעדיפים לא לבוא כי הם לא רוצים לדעת. יש החלפת מידע די חופשית בכינוסים האלה, זה יהיה טעות, בלתי אפשרי ולא פרקטי לנסות למנוע את זה.
גרי ליטוין
¶
זה גם נכון. שוב, זה לא פרקטי, כי איך אתה מנסה
עבריין מחשב שרוצה להגיע לארץ? זה מיותר לחלוטין.
אליעזר כהן
¶
בעולם ידוע שחוטפים ידענים, מחכים להם ואיך
שהם מוסמכים חוטפים אותם ומשתמשים בהם. אני לא קולט מדוע לא חוטפים את ההאקרים לחברות, מדוע לא מעסיקים אותם? הרי החברות צריכות אותם.
עידו שפירא
¶
אני רוצה להתייחס לשתי השאלות האקטואליות
שנשאלו פה, גם לשאלתו של חבר הכנסת איתן וגם לשאלות קודמות שעלו כאן בדיון. קודם כל, לגבי ההבחנה שיקי מרגלית עשה, אני בהחלט מצטרף לדבריו וגם לדעה הרווחת כאן שיש להבחין בין האקרים לקרקרים ולסוגים שונים של חומרה בעבירות אלה. אני לא יודע אם זה ממש דומה להבחנה בין הכולסטרול הטוב לבין הכולסטרול הרע, אבל ההבחנה קיימת. בפירוש אנלוגית אני רוצה להזכיר שאם אני לא טועה גם העבירה הישנה מאוד של השגת גבול במקרקעין מדברת על כניסה למקרקעין למטרה של ביצוע עבירה. זאת אומרת, גם כאן יש הבחנה בין מישהו שפועל על מנת אחר-כך לבצע עבירה לבין מישהו שנכנס בצורה תמימה יותר.
לגבי הכינוס אני רוצה עוד יותר לחזק את הדעה של נגד ביטול הכינוס. אני חושב שזה בכלל לא עניין לדיון הזה. אין שום קשר בין כינוס של האקרים לתופעה של האקרים או של אבטחת מידע, כי כינוס של האקרים זה עניין של חופש ביטוי, זה גם חוקתי. אם הם היו מקימים מפלגה ורצים לכנסת, אני לא יודע אם הייתה עילה חוקית לפסול אותם בצורה חוקית. אז בוודאי לגבי הכינוס, אני בספק אם אפשר למנוע כינוס של האקרים או כינוסים בארצות-הברית שנערכים של תנועות גזעניות.
הדיון עצמו, אני חייב לומר שאני חולק קצת על הכותרת שלו שהיא לטעמי מעט פופוליסטית, תופעת ההאקרים - טרור ברשת האינטרנט. נכון שזה עניין חם.
עידו שפירא
¶
הכותרת לטעמי היא רחבה כי התופעה היא תופעה
רחבה. התופעה היא תופעה בחיתוליה. מדובר ברשת שהיא רשת מאוד פגיעה. הנושא הכללי יותר של אבטחת מידע ברשת ואיך מטפלים בכל זה ואיך מטפלים בשחקנים השונים ואיך מחלקים את האחריות ביניהם, הוא נושא הרבה יותר כבד ודרושה הרבה יותר תשומת לב והייתי מציע להבא גם להרחיב את כותרת הדיון.
אני רוצה להזכיר שיש פה שחקנים שונים במגרש הזה. ישנה המדינה עצמה על כל הגורמים שלה, ישנם המפעילים וספקי השירות וצריך לדון בכל אחד ולחלק ביניהם את האחריות. אני חושב שצריך להתייחס לזה גם דרך היבטים כלכליים של איך לחלק את הנטל. אני חושב שהאחריות כן מתחילה במדינה, זו אחריות המדינה והיא זו שצריכה לדון איך לחלק את האחריות בין השחקנים האחרים. כנ"ל לדון גם בשאלה מה צריכות להיות נורמות פליליות ומה נורמות אזרחיות כי לא הכל משפט פלילי, ולשקול אם יש מקום לחקיקה של היום שהיא חקיקה בתפזורת, פה סעיף ופה סעיף, או האם יש צורך בחקיקה שלמה לנושאים האלה.
יובל קרניאל
¶
אני רוצה להתרכז בהערה אחת וזה השינוי שעובר
על הרשת, שינוי שהוא דרמטי מבחינה משפטית. הרשת נולדה והתפתחה כרשת ללא גבולות, כרשת כמעט ללא משפט והדבר הזה הביא לרשת שבהתפתחות שלה היא בעיקרה היא רשת של חופש ביטוי. הדבר הזה משתנה בשנים האחרונות באופן דרמטי. אם פעם הרשת הייתה איזה פארק חופשי, היום הרשת היא יותר קניון מסחרי ואותם דברים שדיברנו עליהם לפני כמה שנים – ואני הייתי דובר מרכזי בתחום הזה – לא לחוקק באינטרנט, חופש ביטוי באינטרנט, לתת לרשת להתפתח מבחינה חופשית, והמצב הזה הגיע בעצם לסיומו. היום ברור לנו שאי-אפשר להפקיר את הרשת לנפשה כי משמעות הפקרת הרשת לנפשה זה להשאיר אותה בידי בריונים, כלומר, אותם אנשים שיש להם כוח, בין אם כוח כלכלי גדול, בין אם כוח אלים של פשיעה. לכן יש צורך בהסדרה והעולם יודע את הדבר הזה. זו המגמה הבינלאומית. זה נכון שהרשת בהיותה רשת בינלאומית, ההסדרה צריכה להיות בינלאומית. יש עלינו חובה כמדינה שרוצה להישאר בשורה הראשונה לראות מה קורה בארצות המפותחות, בעיקר בארצות-הברית, ולנסות לא לפגר אחר המגמות הללו.
אני רוצה לדבר בקצרה על שתי מגמות: מגמה אחת היא הנושא של פיתוח סחר האלקטרוני. בגלל שהרשת הופכת להיות קניון וזה הדבר שהוא העתיד שלה ושם הכסף ושם הכוח, יש צורך לקדם מערכות משפטיות שיאפשרו סחר הוגן בצורה חוקית, אם תרצו הגנת הצרכן, וגם כמובן אבטחת המערכות. זו נקודה שמתפתחת כמעט מאליה. כלומר, אין ספק שצריך להיכנס גם שם בנושאים של חתימה אלקטרונית, נושאים של תוקף של חוזים אלקטרוניים וכדומה, אבל היות שכאן יש אינטרסים מסחריים כבדים מאוד לטובת הדבר הזה, הדבר הזה מתרחש. היות והגורמים הכלכליים הגדולים ברשת יש להם אינטרס גדול שהאתרים שלהם יהיו יציבים, חזקים ומאובטחים, הדבר הזה קורה. אני מלווה את זה ואני פחות מוטרד מזה.
אני מוטרד מהנושא של פרטיות בגלל שהרשת הפכה להיות מקום מופקר מבחינת הגנת הפרטיות של האזרח והאדם הפרטי. יותר ויותר מידע מסתובב ברשת ואנשים מפקירים את המידע. אני נדהם כל פעם מחדש כשאני רואה מה אנשים מוכנים לספר על עצמם והדבר הזה הופך להיות הבעיה המרכזית של הרשת. צריך גם בישראל, כמו בכל מקום אחר בעולם, לתקן את חוק הגנת הפרטיות ולהתייחס לתופעות כאשר התופעה החמורה ביותר היא התופעה האפשרית של התחזות לאדם אחר עד כדי לקיחת הזהות שלהם. ברגע שהזהות שלך מונחת ברשת, אפשר להתלבש עליה, להשתלט עליה ובעצם להפשיט אותך מכל הנכסים שלך. הדבר הזה הוא סכנה אמיתית ולכן אני פחות סלחן כלפי התופעה של האקרים. ברור שאי-אפשר לעצור את הקונגרס שלהם ואי-אפשר למנוע את הדיון עצמו, אבל התופעה של ההאקרים, גם ההאקרים התמימים, יש בה מידה של פגיעה בפרטיות ואסור לשכוח את זה. אולי הם לא גורמים נזקים כלכליים ישירים, אבל כאשר הם חודרים למערכות שלנו, חודרים אלינו, גם אם באופן תמים, הם חודרים לפרטיות שלנו, למידע רגיש עלינו והם תורמים לאותה סכנה שאני מדבר עליה.
השורה התחתונה. כן להתייחס – ואני קורא גם למשרד המשפטים וגם לוועדה הזאת – ולנסות ליזום טיפול בהגנת הפרטיות כי זו הדאגה העיקרית של האזרח, של המשתמש.
היו"ר ענת מאור
¶
אני רוצה למסור סיכום ביניים לטובת הצופים
שעקבו אחרי הדיון באמצעות הטלוויזיה כי נראה לי שיש כאן כמה דברים שהתגבשו במשותף. הדברים האחרונים של דוקטור יובל קרניאל לדעתי שמים את הדיון במקום. כמובן שצריך להיזהר מקיצוניות. כפי שאמרתי בפתיחה, רק יתרונות עם חופש ביטוי ומינהל פארק ללא גבולות, זו היתממות שהיא לא במקומה. צריך לשים לב שזה הפך לרשת מסחרית ולא רק לדיאלוג כללי ויש בזה הרבה מאוד אינטרסים כלכליים, פוליטיים וביטחוניים וצריך אם כן שהחשיבה תהיה מהירה כמו האינטרנט ושלא נעסוק בדפוסים פנימיים כמו בעבר. יש באמת חשש של השתלטות של בעלי אינטרסים ושל בריונים וכך צריך לחשוב.
להערתו של חבר הכנסת ברילובסקי. אנחנו חייבים לדבר במושגים בינלאומיים ולא רק בישראל, וזה ברור מאליו. אנחנו מתחילים להיות מוצאים אל מחוץ לקהילה הבינלאומית המתקדמת בגלל סטנדרטים שפוגעים בנורמות, שלא לדבר על תיירות, על התנהגות של אזרחים פרטיים וכולי. כדאי שנקבל לזה תשובות והתייחסות על מה קורה במדינות אחרות ואיך עובדים. צריך להתעדכן ולעבוד במשותף.
לגבי נושא ההאקרים והקרקרים. אני מוכרחה לומר, גם בעקבות הדיון, שאנחנו צריכים לעבור מתזזיות לתזזיות. היד המקלה וההתייחסות בישראל שזה רק אתגר, רק ספורט ורק חובבני, עדיין קיימת. עם זאת זה נכון שיש רמות שונות של בעייתיות ואנחנו לא יכולים באותה עת ובאותה נשימה להתייחס אל כולם כאל עבריינים וכאל פושעים. אני מזהירה מהקונוטציה שזה יישאר ספורט לאומי ואני חוזרת לדוגמאות הפרטניות איך התיירים מתנהגים בחו"ל ואיך אנחנו מתנהגים בעולם הקלטות. אנחנו מאבדים נורמות שאחר-כך משפיעות על החברה שלנו ומשפיעות על מעמדנו בעלם.
אני מציעה סיכום ביניים כזה. אני מציעה לחבר הכנסת איתן שלא נדבר דרך האינטרנט, כי אני רוצה לומר לך שכמורה אני יודעת שלפעמים מכניסים טכנולוגיות שלכאורה הן מתקדמות אבל הן בולמות דיון. כשלכל אחד מאתנו תהיה מערכת אינטרנט, אז הדיאלוג יהיה פורה. כשאתה יושב ואתה תהיה מקור התיווך, זה שונה.
מר בצר, חד-משמעית יש כאן סיכום ואנחנו מצפים שיהיה שילוב בין הטיפול הביטחוני בנושא שאנחנו מבינים שהוא מתקדם יותר לבין הטיפול האזרחי בכל הנושא של אבטחת מידע ברשת.
נסים זאב
¶
מי בעצם יישא באחריות ואולי תוך כדי דיון
יצטרך שר האוצר לתת את דעתו לעניין כי אחרת לא נוכל לבלום את הפשיעה בנושא.
היו"ר ענת מאור
¶
בכל-אופן אנחנו לא יכולים לשחרר את מר בצר
מאחריות.
אנחנו כסיכום הישיבה נפנה את הפנייה גם לראש-הממשלה וגם לשר האוצר ונזכיר להם את מחויבותם למעורבות כולה, ראשית לפיתוח נושא האינטרנט בכלל. אם הנתון הוא נכון, שירדנו מהמקום ה13- למקום ה27-, צריך לציין גם את זה. חבר הכנסת איתן, תכין בבקשה טיוטת מכתב בשמנו אל ראש-הממשלה ואל שר האוצר ובמקביל את הנושא של ריכוז הטיפול באבטחת מידע ברשת.
אני רוצה להזכיר לנוכחים שאנחנו עורכים ב14- במרץ את יום המדע בכנסת ובמדינה בכלל, אירוע שקורה לראשונה. זה יום הולדתו של אינשטיין. על הרעיון הוחלט בכנסת הקודמת בוועדת המדע בראשותו של חבר הכנסת נודלמן. אנחנו מוציאים מן הכוח אל הפועל את ההחלטה הזו. בשעה 09:30 אנחנו מוזמנים אל נשיא המדינה שבעבר היה שר המדע לפתיחת היום והאירועים. בשעה 13:00 יתקיים כאן כנס גדול עם שר המדע. אנחנו בפנייה מאוד אינטנסיבית לראש-הממשלה שישתתף בכנס הזה ואני לא מתכוונת שיכבד אותנו בנוכחותו אלא שיהיה שותף. בשעה 15:15 עד 16:00 יתקיים דיון במליאה. כל הרעיון הוא לשים את כל נושא המדע ובתוכו גם את נושא האינטרנט על סדר לאומי חדש במדינה במובן שלא רק שנהיה מדינת מדע בשנות ה50- אלא בהחלט לחייב את הממשלות לתקציב בשנת 2001 ולעשות שינוי גדול בכל התפיסה ובכל התקציבים הנובעים מכך.
בנושא החקיקה. אין ספק שמכל מה שנאמר כאן אנחנו לא מדברים על תיקון זה או אחר. אנחנו רוצים ללמוד מה נעשה בעולם וכאן אנחנו מבקשים ממשרד המשפטים להוביל את הנושא. אני מבינה שהוקם כבר צוות במשרד המשפטים. הצוות במשרד המשפטים צריך לבדוק גם את הנישה שלו וגם את האינטראקציה של הטיפול הכולל בנושא שנקרא אבטחת מידע ברשת ומה קשור לאיזה משרד ואיך לטפל בזה.
עד כאן סיכום הביניים. אני מבקשת תגובות נוספות קצרות.
ויקטור ברילובסקי
¶
אני רוצה להמשיך בכיוון החינוך שאני חושב
שהוא כיוון מאוד חשוב. כל בן-אדם יודע שאם גנב בא לדירה ולקח איזשהו דבר, הוא גנב. אם הוא עשה אותו הדבר עם מידע, זה אתגר אינטלקטואלי. אם בן-אדם לא יכול להעתיק תוכנה בגלל שיש עליה הגנה, עבורו זה אתגר כי הוא צריך לפרוץ את הקוד. זו הדעה הכללית שרווחת בציבור ואני חושב שצריכים לעשות דברים רבים בחינוך כדי לשנות את המצב כי זה מצב חדש. אנחנו יודעים שיש דברים חומריים ויש שם זכויות מסוימות וכך הלאה אבל מידע זה משהו וירטואלי, זה משהו באוויר ואנחנו לא מבינים שזה אותו דבר וכי אנחנו צריכים להתייחס לזה בדיוק אותו הדבר.
היו"ר ענת מאור
¶
מדובר על חינוך ואני רוצה לברך כאן את
התלמידים ממכון לב שיושבים אתנו מראשית הישיבה. באמת זכיתם לדיון בתחום מאוד מרתק וחשוב. אני מקווה שככל שניתן תעבירו את המסרים למערכת החינוך.
מיכאל איתן
¶
אני יכול להרגיע אותך. המגמה העולמית היא
שהשוויון בין המינים הוסדר בגלישה לאינטרנט. בארצות-ברית, הנתונים האחרונים מראים שהנשים משתלבות במספרים זהים לגברים. זה היה עולם גברי, אבל היום זה לא כך.
קריאה
¶
בתחום האינטרנט אנחנו רואים הרבה נשים אבל
בתחום אבטחת מידע, תחום שאני פעילה בו, לצערי יש בודדות.
היו"ר ענת מאור
¶
במקרה הזה לצערי הם צודקים. אין ספק
שההחלטה האחרונה שקיבלנו שתשלב נשים במגוון התעסוקה הצבאית, אני מאמינה שאת התוצאות ניתן יהיה לראות בעוד מספר שנים.
מכל מקום, בסיכום הישיבה אני מבקשת להוסיף את נושא קידום הנשים בנושא.
קריאה
¶
אם אנחנו מדברים על תופעת ההאקרים, על-מנת
להתגבר על התופעה הזאת, צריך להתחיל בחינוך. בכנס של ה-CSI עלתה על הבמה נציגת הממשל והציגה תוכנית חינוך שמעבירים בבתי-הספר החל מגן הילדים וזאת כדי לחנך את האזרחים. היא אמרה שאת התרומה הם רואים בכל שנה יותר ויותר בצורה שבה באמת המשתמשים משתמשים ברשת. עם כל זה שתופעת ההאקרים היא בעייתית, גורמת לנו להרבה כאב ראש, וגם מהצד השני הרבה עבודה, צריך לחנך את הדור הבא לנושא הזה.
היו"ר ענת מאור
¶
תודה. אני מבקשת להוסיף לסיכום את כל נושא
החינוך לאתיקה ברשת. בפגישה שיזמנו כבר עם שר החינוך נעלה את הסוגייה של חינוך לאתיקה.
עידו שרון
¶
שלוש נקודות, גם למחוקק וגם לרגולטור,
שצריכים להיות מודעים להן.
הבעיה של ביטחון הרשת היא להכניס אותה לתוך הטכנולוגיה ולכן גם רגולציה וגם חוק צריכים להיות מאוד אמינים. כשאתה מתחיל לחוקק חוקים על טכנולוגיה ולהפוך את המעגל למרובה, אתה נתקל בכמה בעיות לא פשוטות.
דבר שני שגם הוא קשור לעניין, וכאן אני לא לגמרי מקבל את מה שנאמר, שעד היום וגם היום יש יחס הפוך בין היזמות הטכנולוגית, הכלכלית, ההתפתחות של הרשת לבין כמות המגבלות, גם החוקיות וגם הביטחונית וכולי ששמים עליה. ברגע ששמים מגבלות, הרשת מפסיקה להתפתח. הדבר הכי פשוט, אפשר להראות רשתות שהן לא רשתות אינטרנט, רשתות מידע, ולראות שהן מאוד מוגנות אבל ההתפתחות שלהן היא מאוד איטית.
עידו שרון
¶
אני מודע להן.
הדבר שנובע מזה, אני חושב שצריך מאוד להיזהר מבחינת ההגבלות ששמים ובעצם ההגבלות צריכות להיות – וזה נאמר פה על-ידי הרבה אנשים – על התוצאות של מה שעושים. נאמר פה קודם שהפריצה למטרות לא ראויות, ברור שהיא צריכה להיתקל במגבלות חוקיות ואחרות, אבל ברגע שבעצם אתה לא מגביל את התוצאות אלא מתחיל להגביל את המעשים, העסק מתחיל להיות מאוד בעייתי.
רחל ארזי
¶
אנחנו מעורבים במשרד החינוך עם המחלקה
למחוננים ואנחנו כן יודעים על דברים שנעשים שם בנושא של חינוך לאתיקה ברשת. כמובן שאלה הן נקודות שנמצאות בראשיתן, אבל בהחלט דברים שאי-אפשר להתעלם מהם.
בנושא הכנס. כל התייחסות של הוועדה תהיה לא יותר מיחסי ציבור לכיוון החיובי של הדברים, כי אם כל המסגרת של העסק היא פריצה של מסגרות, אם דווקא המערכת תתנגד, מה טוב מזה כדי לקדם את הנושא?
מה שכן אפשר לעשות בנושאים של המודעות זה להעלות את המודעות של אותם משתמשים פרטיים בבית. החברות כן מודעות לזה אבל מי שפחות מודע לזה אלה אותם אנשים שמטיילים בבית והם לא חלק מתאגידי ענק או חברות גדולות וגם הם חשופים מאוד ונעשים דברים.
כל חקיקה וכל תקינה היא תמיד ריצה אחרי המציאות. יש מעט מאוד חקיקות שהקדימו את המאוחר גם בדברים האלו זו ריצה אחרי המציאות אבל זאת לא סיבה להפסיק לרוץ.
עופר שני
¶
הכותרת של הדיון היא פופוליסטית כי יש לנו
האקרים בקרבנו ובאמת דור כזה של חכמים וידענים שגדל וצריך לטפל בנושא. בטרור תמיד מטפלים כמו שמטפלים בטרור, גם בעולם הממשי ואני מטפל בו. זה בא מלמעלה. פעילות ההסברה זה הדבר החשוב. הגברת דיברה על חינוך לאתיקה של שמירה על הפרטיות, אבל אתיקה הופכת בעייתית כאשר מדובר בפלטפורמה אנונימית כמו רשת האינטרנט. אנשים מרשים לעצמם קצת יותר. פעילותה הסברה, אני מתכוון לזה שלפני כמה שנים נתפס האנלייזר לדוגמה וכולם זוכרים את התבטאויות ראש-הממשלה דאז.
הייתה כאן התבטאות על האקריות שהיינו יכולים להיות גאים בהם, אבל אין מה להיות גאים בתופעה מן הסוג הזה. זו עבירה על החוק ועד שנבחרי הציבור לא יתייחסו לזה כאל עבירה על החוק, בטלוויזיה, ברדיו, בכל אמצעי התקשורת אי-אפשר יהיה לטפל בזה.
ראינו את הנתונים שהוצגו כאן לגבי האכיפה ואכן לא אוכפים את זה. אין כמעט ביטויים לתביעות, אין ביטויים למאסרים. עוד יותר גרוע, יש כמה האקרים גדולים שהפכו לאייקונים ואנשים מעריצים אותם וזה רק בגלל שנבחרי הציבור לא מתייחסים לזה במלוא החומרה. עכשיו בארצות-הברית זה הולך לכיוון הזה וכולם מאוד זועמים ונחרצים. אני מקווה שגם בארץ זה יהיה כך.
אילן קציר
¶
הפגישה היום עסקה בעיקר בטרור באינטרנט או
ברשת כשהיעדים הם אתרים באינטרנט כאלו או אחרים. חבר הכנסת איתן נגע קודם בנקודה ואמר שזה רק חלק אחד מהתופעה. אמנם רוב הפעילות נעשית שם, אמנם לדחוף אתר זה הדבר הקל יחסית והנזק שנגרם הוא בעיקרו נזק תדמיתי, נזק לאתרים או נזק כלכלי, אבל הבעיה החמורה יותר שיכולה גם לעלות בחיי אדם זה בכל מה שקשור לתקיפת התשתית הקריטית של המדינה, מערכות התעופה שלה, מערכות הפסקת האנרגיה שלה, המערכות הבנקאיות וכולי. לא נגענו בזה מספיק וזה דבר שצריך להעסיק אותנו.
קריאה
¶
אני לא יודעת מה יהיה נושא הדיון עם שדר
החינוך, אבל אני חושבת שכדאי לקיים דיון על השינויים בחינוך לדמוקרטיה והנושא הזה של אתיקה כחלק מהשינויים האלה במערכת החינוך ואיך זה מתייחס לכנסת ולכל מערכות השלטון.
קריאה
¶
אני מדבר מהצד של קולט תלונות של
המשתמשים כאשר זה עוזר לי לטפל בנושאים האלו. משטרת ישראל עושה כל מאמץ למרות שאין לה מספיק תקנים אבל היא מנסה לעשות את זה. יש הרבה מאוד חקירות ואנחנו שותפים להרבה חקירות. אני מסכים עם מי שאמר שלא ראינו אולי מספיק כתבי אישום יחסית לחקירות שנערכו.
דובר כאן על אנשים שבודקים דלתות של מכוניות, נכנסים למכונית ושמים שלט שהמכונית פרוצה. אפשר לקבל את זה בסלחנות אבל ברגע שחושבים שאולי מחר הם ינסו לבדוק אם הדלת של המכונית פרוצה באמצעות לום ומברג וכשהם ייכנסו למכונית, אולי הם יכתבו בצבע שמן שהאוטו הזה פרוץ ואז אולי לא נתייחס לזה כל כך בסלחנות. לכן ההפרדה הזאת היא מאוד מסוכנת. יש אנשים שפועלים לאבטחת מחשבים ואולי כאן המסר לוועדה כי כן צריך לטפל בנושא חקיקה. כמו שיש מנעולן מורשה – ושוב, אני לא משפטן – אולי האנשים שמטפלים באבטחת מחשבים הם פורצים תמורת הזמנה.
לגבי כנס ההאקרים. אני חושב שמי שמכיר את הנפשות הפועלות בנושא ההאקרים, שם הכנס הוא מאוד מפוצץ ובאמת משך את אותה תשומת לב עיתונאית ותקשורתית שהייתה צריכה להיות, אבל עם כל הכבוד השם מאוד יפה, אבל אל ניתן לשם להטעות אותנו ולכן אני לא חושב שצריך לעצור את הכנס הזה. רוב האנשים שיגיעו לשם אלה הם אנשים שפועלים כ"אנשים הטובים" ומרוויחים הרבה מאוד כסף מנושא אבטחת מידע. אותם אנשים שיש חשש פלילי לגבי הפעילות שלהם, הם לא יגיעו לשם.
חזי כץ
¶
אני מנהל את שירותי המחשוב מטעם חברת
"פורסופט" עבור הכנסת.
במדיניות הכנסת בנושא אבטחת מידע פעלנו בכמה מישורים:
דבר ראשון, בנושא של מידע רגיש, הפרדנו את מחשב החוץ והביטחון מהרשת הכללית של הכנסת והמחשב הזה לא ניתן לגישה, לא מבפנים, פרט לחברי הוועדה, ולא מבחוץ.
דבר שני, עשינו הפרדה של אתר הכנסת באינטרנט כאשר האתר הזה מתוחזק בתחזוקה מלאה על-ידי חברת נטוויז'ן והפרדנו אותו מהאתר לחברי הכנסת, אתר הגלישה, אתר הדואר האלקטרוני.
דבר שלישי, לא נתנו אפשרות בנוהל להתקין מודמים במחשבים של חברי הכנסת, של השרים ושל העיתונאים למרות שהיו לנו המון דרישות בנושא הזה. במקרה שרצו חברי כנסת או שרים להיות מקושרים לאינטרנט בגישה ישירה ולא באמצעות הגישה שלנו, שאני תכף אציין אותה, איפשרנו להם לעשות זאת במחשבים רגילים והם אינם קשורים לרשת הפנימית של הכנסת.
איפשרנו גישה מרחוק לחברי כנסת, למשרדי ממשלה, למכונים, גישה מרחוק למחשב המרכזי שלנו אבל באמצעות אמולציה למסוף ולא באמצעות אחרת.
שימושים אחרים שעשינו. אנחנו מחוברים לפרוייקט תהילה, אותו פרוייקט של משרד האוצר, אותו הסדר של גלישה באמצעות משרד האוצר עבור כל משרדי הממשלה, כך שלמעשה הגלישה אל הכנסת, מהכנסת החוצה, מאובטחת בתהילה. יש לנו בעיות עם הנושא הזה בכמה אתרים שחברי הכנסת לא יכולים להגיע אליהם אבל באותם המקרים האלה יש לנו מחשבים שלא מחוברים לרשת הפנימית ובאותם המחשבים ניתן להתקשר שלא באמצעות תהילה אלא בגישה ישירה, אבל כאמור המחשבים האלה הם עמדות עצמאיות.
יש לנו הצפנות על הקו של תהילה, יש לנו הצפנות על הקו של אתר הכנסת והשלב הבא שלנו שנעשה אותו בעוד כחודשיים, אנחנו נפנה לחברות שנציגיהן בין השאר נמצאים כאן, אנחנו ניתן אפשרות של כניסה מרחוק לחברי כנסת ולמשתמשים אחרים. נעשה זאת באמצעות רז מאובטח, נעשה את זה באמצעות כרטיסים חכמים ונפנה אליכם כנציגי הספקים וחברות לאבטחת מידע בבקשה לקבל פתרונות.
מאיר זוהר
¶
אין זה סוד שהמשטרה מפגרת בצעד אחד אחרי
ההאקרים, ובשני צעדים או יותר אחרי יכולות הסקטור הפרטי. יחד עם זאת המשטרה מודעת היום לכל הנושא הזה של עבירות מחשב, לארגונים הטכנולוגיים החדשים שעומדים בפני המשטרה. דרך אגב, גם בעבירות הקלאסיות, תמיד נוטים לדבר על עבירות המחשב, ואנחנו מדברים היום על עבירות קלאסיות שנעשות באמצעות המחשב, כאשר המחשב משמש כאן ככלי לביצוע העבירות.
בימים אלה מוקם מפלג חדש, מפלג עבירות מחשב שאני עומד בראשו. המפלג אמור לתת מענה לכל אותם מקרים טכנולוגיים. כרגע המפלג נמצא בהתהוותו, אנחנו בעיצומם של גיוסים חדשים כי אנחנו זקוקים לכוח אדם מיומן. אני חייב לומר שיש בעיות בגיוס כוח אדם מקצועי כפי שאנחנו רוצים, אנשים שיהיו בוגרי מדעי המחשב, בוגרי יחידות מיוחדות בצבא.
מאיר זוהר
¶
כרגע יש לנו אישור כללי ל17- תקנים וכרגע
מאוישים חמישה או ששה תקנים. יש בעיה קשה בגיוס כוח אדם מקצועי. אין זה סוד שבוגרי מדעי המחשב ומתכנתים מבוקשים היום בשוק הטכנולוגי ולנו אין מה להציע להם חוץ מאתגר.
היו"ר ענת מאור
¶
אני רוצה להודות לכל המשתתפים. אין לי ספק
שלגבי הכנס, לא נלך עם הראש בקיר. יש פה בעיה בתפיסה וצריך לזכור שאנחנו לא יכולים לטפל באתיקה ברשת אם עולם המבוגרים והתגובה הציבורית לא תהיה ברורה. כמו שבגניבה יש גניבה נקודה ואין סחיבה, אני חושבת שגם כאן צריך לחשוב.
תודה רבה לכולם.
הישיבה ננעלה בשעה 11:00